Linuxセキュリティ総合スレ [無断転載禁止]©2ch.net
2016/06/12(日) 23:17:47.19ID:OMH3td/9
Linuxを安全に使うためにセキュリティについて語りましょう!
2016/06/12(日) 23:38:08.55ID:yP8FUEwn
インターネットに繋がない
2016/06/13(月) 06:09:27.32ID:eDU8tci1
電源を入れない
4login:Penguin
2016/06/13(月) 10:29:04.09ID:Oh9pGuME 気にしない
2016/06/13(月) 11:01:38.26ID:2M58TAyx
SAKOKU を使う
2016/06/13(月) 11:57:17.29ID:J1aqrsrp
勝つためには戦わないこと(´・ω・`)
2016/06/13(月) 12:21:18.30ID:8nJEuh/y
手始めにiptableから乗り換える話書けや
2016/06/13(月) 15:37:47.75ID:0TZsX1cx
セキュリティ総合ってことはウィルス対策もここでいいよね?
2016/06/13(月) 20:55:43.29ID:j5ciL7QT
そもそもLinux使うこと自体が対策に成り得る
2016/06/13(月) 22:05:23.35ID:Qr5Zi0oD
サイバーノーガード戦法だ
2016/06/13(月) 22:14:04.99ID:K9ELyhAn
nftの情報仕入れることを期待してたんだけど、セキュリティのスレなのな。
最近nftに移行はしたけど、iptableで指定した項目が全て移せたわけではないな〜。
最近nftに移行はしたけど、iptableで指定した項目が全て移せたわけではないな〜。
2016/06/13(月) 22:30:22.37ID:THPCncF9
2016/06/20(月) 09:45:44.94ID:EE0G5RY5
UACが欲しい(´・ω・`)
2016/06/27(月) 21:17:47.20ID:1MSZfZlD
代わりにキーリングをあげよう
2016/07/08(金) 22:16:34.93ID:nKTBpDXx
ぱんつくれ !
2016/07/11(月) 20:45:28.85ID:1UAhQw4h
(´・ω・`)・ω・`) キャー
/ つ⊂ \ 怖いー
/ つ⊂ \ 怖いー
2016/07/16(土) 12:23:29.36ID:az2Lvjtg
make pan
18login:Penguin
2016/07/28(木) 14:39:09.27ID:vgMn1AfM 残念ながらいくつかの解決が困難な問題のせいで今やUnix/LinuxよりWindowsのほうが遥かにセキュアだからな。
被害が少ないのはただ単に狙われてないからってだけ。
1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント
http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.
suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。
被害が少ないのはただ単に狙われてないからってだけ。
1.su/sudoが糞
glibcの脆弱性GHOSTの発見に関わった人のコメント
http://www.openwall.com/lists/owl-users/2004/10/22/2
> If it would be permitted for a non-root user to su to root, then anyone who could have compromised the user's account[1] would also be able to hijack a su session[2] and then su to root himself.
> [1] Such a compromise could occur in a variety of ways: Web/FTP/etc.
> client vulnerabilities, password snooping, etc.
> [2] For example, edit the user's shell startup scripts to make su an alias for a custom su wrapper program.
http://www.openwall.com/lists/owl-users/2004/10/20/6
> unfortunately both su and sudo are subtly but fundamentally flawed.
> So the separation between the non-root and the root accounts is lost.
suやsudoを使える非rootのアカウントが攻撃者に侵入された時点で、攻撃者はそのアカウントの~/.bashrcなどにパスワードを盗むラッパーを実際のsu/sudoのaliasやfunctionとして仕込んだり出来る。
次に正規のユーザーがsu/sudoを使おうとすると攻撃者の仕込んだラッパーが実行され攻撃者はパスワードを得ることが出来、あとは攻撃者もsu/sudoを使い放題となる。
結果としてこれらのツールのせいでrootと非rootというユーザーの分離という一番基本的なセキュリティさえ無意味になっている。
2016/07/29(金) 08:18:56.26ID:3v5CyHDC
じゃけんSELinux使いましょうね
20login:Penguin
2016/07/29(金) 11:43:36.67ID:c3kWqYGY セキュリティ対策がはっきりしない以上Win使いしかいない
でもw10こわいわー
でもw10こわいわー
2016/07/29(金) 12:00:07.41ID:r5rsVV/0
>>18
侵入された時点でおしまいだろうに何言ってんだこいつって感じですかね。
侵入された時点でおしまいだろうに何言ってんだこいつって感じですかね。
22login:Penguin
2016/07/29(金) 15:11:35.83ID:2cIkyZpH >>21
今の時代は「侵入された時点でおしまい」が許されないからこそブラウザとかはseccompやnamespaceを駆使して仮に脆弱性経由で何かコードが実行されても被害を最小限に食い止めるようにsandbox化に力を入れてたりするんだが
そもそもそれが許されるなら、一人で使うデスクトップ用途ではUbuntuみたいなわざわざ「普段非rootでログインして必要な時だけsu/sudoでrootになって実行する」
っていう行動にはセキュリティ的には何の意味もない、最初からrootでログインしてそのままエロサイト巡りしても何ら問題ないって事になるのは理解できるか?
もっとも昔はそれでも問題ないレベルだったのでWindowsではAdministratorでのログインがデフォになってたわけだが
そのあたりをきちんと理解しないで「Unix/LinuxはWindowsよりセキュアなんですーー」で思考停止してる馬鹿が大多数のせいで今の現状があるわけだ
その間にWindowsは、UACのように権限を得るためにはきちんとそれぞれへの入出力の機密性やコマンド自身の完全性をきちんと確保して「異アカウント間の分離」を破壊しないように考慮したり、
ILのように同アカウント内でもきちんとプロセス間を分離して保護(これは>>19の言うように強制アクセス制御で"一部"は解決できる)することでよりセキュアに進化した
一方残念ながら思考停止したUnix/Linuxは、権限を得るために「何の保護もない環境」から実行される「何の保護もされてないsu/sudoコマンド」に対して「何の保護もされてない状態でパスワードを入力する事」状態が放置され、
その一番基本的な「異アカウント間の分離」すら無意味になってる体たらく
結果的に「(sudoが使える非rootユーザーが)侵入された時点で(システム全体が)おしまい」になってるので、一周回ってお前の言ってることも正解なわけだがな
今の時代は「侵入された時点でおしまい」が許されないからこそブラウザとかはseccompやnamespaceを駆使して仮に脆弱性経由で何かコードが実行されても被害を最小限に食い止めるようにsandbox化に力を入れてたりするんだが
そもそもそれが許されるなら、一人で使うデスクトップ用途ではUbuntuみたいなわざわざ「普段非rootでログインして必要な時だけsu/sudoでrootになって実行する」
っていう行動にはセキュリティ的には何の意味もない、最初からrootでログインしてそのままエロサイト巡りしても何ら問題ないって事になるのは理解できるか?
もっとも昔はそれでも問題ないレベルだったのでWindowsではAdministratorでのログインがデフォになってたわけだが
そのあたりをきちんと理解しないで「Unix/LinuxはWindowsよりセキュアなんですーー」で思考停止してる馬鹿が大多数のせいで今の現状があるわけだ
その間にWindowsは、UACのように権限を得るためにはきちんとそれぞれへの入出力の機密性やコマンド自身の完全性をきちんと確保して「異アカウント間の分離」を破壊しないように考慮したり、
ILのように同アカウント内でもきちんとプロセス間を分離して保護(これは>>19の言うように強制アクセス制御で"一部"は解決できる)することでよりセキュアに進化した
一方残念ながら思考停止したUnix/Linuxは、権限を得るために「何の保護もない環境」から実行される「何の保護もされてないsu/sudoコマンド」に対して「何の保護もされてない状態でパスワードを入力する事」状態が放置され、
その一番基本的な「異アカウント間の分離」すら無意味になってる体たらく
結果的に「(sudoが使える非rootユーザーが)侵入された時点で(システム全体が)おしまい」になってるので、一周回ってお前の言ってることも正解なわけだがな
23login:Penguin
2016/07/29(金) 15:40:50.53ID:2cIkyZpH 一応フォローしとくとLinux kernel自体は割ときちんと進化してるな、NXとかASLRとかYamaとかLSMとか
きちんと設定されてなかったり(互換性のせいで出来ない)、ユーザーランドが糞の寄せ集めなせいで台無しだが
きちんと設定されてなかったり(互換性のせいで出来ない)、ユーザーランドが糞の寄せ集めなせいで台無しだが
2016/07/29(金) 16:57:07.30ID:AresjTJd
うんそれはご説ごもっともなんだけどさ、ただ危ないぞって騒ぐだけじゃなくて被害に遭った卑近な例とか挙げられないのかな?
卑近なって言ってもあなたの身近な人じゃなくてネットで皆の目に触れるようなブログやフォーラムでいいんだ。
xpが終わる時にデスクトップLinuxがって騒いでから、Linuxといえどのほほんとしてられないってのはみんな思ってることなんだ。
だから知りたいのは、いかに危険か、ではなく、危険なブツに出くわした時にどうすべきか、出くわした人はどう対処したか、なんだよ。
開発に携わった人のブログやコラム見つけて危険だ危険だって焚き付けるのなんて思考停止してもできることだろ?
LinuxユーザーがWindowsは危険だと騒ぐのが思考停止ならWindowsユーザーがLinuxは危険だと騒ぐのもまた思考停止じゃないの?対策を示すとか何かしない限り。
まるで、ゲームのバグを見つけたからプランナーや開発者より自分の方が優秀だって威張ってるデバッガーみたいだよ君は。
卑近なって言ってもあなたの身近な人じゃなくてネットで皆の目に触れるようなブログやフォーラムでいいんだ。
xpが終わる時にデスクトップLinuxがって騒いでから、Linuxといえどのほほんとしてられないってのはみんな思ってることなんだ。
だから知りたいのは、いかに危険か、ではなく、危険なブツに出くわした時にどうすべきか、出くわした人はどう対処したか、なんだよ。
開発に携わった人のブログやコラム見つけて危険だ危険だって焚き付けるのなんて思考停止してもできることだろ?
LinuxユーザーがWindowsは危険だと騒ぐのが思考停止ならWindowsユーザーがLinuxは危険だと騒ぐのもまた思考停止じゃないの?対策を示すとか何かしない限り。
まるで、ゲームのバグを見つけたからプランナーや開発者より自分の方が優秀だって威張ってるデバッガーみたいだよ君は。
2016/07/29(金) 17:23:02.18ID:2cIkyZpH
>>24
俺みたいなゴミクズには解決する力も政治力もないから2chみたいな掃き溜めでグチってんのよ
Linux好きだから改善してほしいし、もし同じように問題だと感じる人が増えてくれれば改善される可能性も増すしね
そのために敢えて居丈高にLinuxに厳しくWindowsに甘く書いたんだ、ゴメン(´・ω・`)
俺みたいなゴミクズには解決する力も政治力もないから2chみたいな掃き溜めでグチってんのよ
Linux好きだから改善してほしいし、もし同じように問題だと感じる人が増えてくれれば改善される可能性も増すしね
そのために敢えて居丈高にLinuxに厳しくWindowsに甘く書いたんだ、ゴメン(´・ω・`)
2016/07/29(金) 17:53:59.24ID:53ApPnD4
windowsが仮に安全つうのは
あることするには続きは窓操作も必要だからじゃね?(あるいは暗号のようなパス書かないと辿れないとか)
そういう不便さを有難くセキュリティーが強いというのかどうか
あることするには続きは窓操作も必要だからじゃね?(あるいは暗号のようなパス書かないと辿れないとか)
そういう不便さを有難くセキュリティーが強いというのかどうか
2016/07/29(金) 19:36:23.87ID:IWyIiLvv
Windowsがセキュリティーを確保しているのは専業のベンダー各社が競争に晒されながら製品を開発しているからであって、Windows自身が特段セキュリティに優れる訳じゃない
2016/07/29(金) 21:02:48.88ID:2cIkyZpH
https://blog.martin-graesslin.com/blog/2015/11/looking-at-the-security-of-plasmawayland/
KDEの開発の人とかちゃんといまのXやシェルとかの実行環境には問題があることを認めてどうしたら良いか考えてる人もいるんだよなー
でも自分の開発してるソフトウェアだけが対応してもshellとかの他のソフトウェアのせいでそれが無意味になっちゃったりで困ってる
KDEの開発の人とかちゃんといまのXやシェルとかの実行環境には問題があることを認めてどうしたら良いか考えてる人もいるんだよなー
でも自分の開発してるソフトウェアだけが対応してもshellとかの他のソフトウェアのせいでそれが無意味になっちゃったりで困ってる
2016/07/30(土) 13:47:31.26ID:m4BHHueF
強制アクセス制御だけでハッキングを防御できるの?できないの?
それと、強制アクセス制御のステータスってのは何らかのファイルにロギングされんの?
それと、強制アクセス制御のステータスってのは何らかのファイルにロギングされんの?
2016/07/30(土) 13:54:08.97ID:m4BHHueF
Linuxなんてのは宮大工が構築した接ぎ木細工のようなもの。
ノーガードきめこんで運用してたら、そりゃあ狙われた時に簡単にクラッシュしますがな。
(肝心な釘打ち無しで構築してるもんだから)
Windowsの世界ではねセキュリティソフト入れて丸投げしてるわけ。
但し、ユーザーの中には変わり者がいて、ノーガードな奴もいる訳、
まあ、他人ごとでどうなろうが知ったことじゃないが…
ノーガードきめこんで運用してたら、そりゃあ狙われた時に簡単にクラッシュしますがな。
(肝心な釘打ち無しで構築してるもんだから)
Windowsの世界ではねセキュリティソフト入れて丸投げしてるわけ。
但し、ユーザーの中には変わり者がいて、ノーガードな奴もいる訳、
まあ、他人ごとでどうなろうが知ったことじゃないが…
31login:Penguin
2016/08/13(土) 02:05:03.68ID:oD+tGgzq LinuxのTCPに脆弱性、トラフィックを乗っ取られる恐れ
http://www.itmedia.co.jp/enterprise/articles/1608/12/news047.html
http://www.itmedia.co.jp/enterprise/articles/1608/12/news047.html
2016/08/13(土) 04:51:41.40ID:aN9vHd6i
>>31
すぐ更新されるから慌てなさんな
すぐ更新されるから慌てなさんな
33login:Penguin
2016/08/13(土) 08:48:05.17ID:TXBKXjH8 >>32
2012年からあった脆弱性がすぐに修正されるの?
2012年からあった脆弱性がすぐに修正されるの?
2016/08/13(土) 08:55:27.99ID:1K0xoI1z
すでにパッチは出ているぞい
2016/08/13(土) 11:19:12.09ID:UrcrvCqb
大して重要じゃないと思われてたから放置されてただけで、
修正が難しいわけじゃないのだろう。
修正が難しいわけじゃないのだろう。
2016/08/14(日) 13:17:03.39ID:gduCaAAf
「誰も気づかなかったけど2012年からひっそり存在していた物が今発見されてすぐに修正された」
だろ
だろ
2016/08/14(日) 14:21:25.00ID:IM019vfG
日本の官公庁のサーバのセキュリティってまともなの?
2016/08/14(日) 18:52:10.23ID:fe3iWrgq
レスを投稿する
ニュース
- 佐藤二朗 ハラスメント報道にコメント「大変残念。全ての事実が明らかになることを望みます」所属事務所「到底受け入れられない」★43 [Ailuropoda melanoleuca★]
- 【W杯】豪州PK惜敗でアジア勢全滅 9チーム出場も3勝17敗9分け、16強に1か国も残れず エジプト勝利 [征夷大将軍★]
- 【W杯】メッシがW杯史上初の通算20得点目! 史上初の通算30試合目で達成 新記録8試合連続ゴール [阿弥陀ヶ峰★]
- “4カ月逃亡”の末とうとう発表 れいわ山本太郎代表のスピード違反は「人命軽視の69キロオーバー」アルファードで高速を大爆走 ★2 [尺アジ★]
- 【夏の乳首おじさん】ピンと突き出たTシャツに小原ブラスが不快感「色まで透けて見える」髪形や脱毛に気を使っていても「なぜそこだけ… [征夷大将軍★]
- 【朝日社説】皇室典範改正 強行すれば禍根を残す ★4 [蚤の市★]
- 【地上波/DAZNほか】 FIFAワールドカップ2026 総合スレ★302【メキシコ/カナダ/アメリカ】
- 【地上波/DAZNほか】 FIFAワールドカップ2026 総合スレ★300【メキシコ/カナダ/アメリカ】
- 西武線 9
- 【D専】Part.3
- 〓たかせん〓
- ハム専3
- 【塩貝】ブラジル人記者「どこの国の選手もあんな失礼な事は言わない。それを森保監督や他の選手が放置した事が理解できない」 [385687124]
- 高い総理、消費税減税を断念、野党が激しく反対したため… [422186189]
- FFでじじいが死ぬやつあるじゃん
- 【時系列】佐藤二朗さん、なにも悪くなかった🏡
- 【FIFAワールドカップ2026】三時オーストラリア×エジプト(NHK,DAZN)七時アルゼンチン×カーボベルデ [226731781]
- 【悲報】全く鍛えてない女の子たちの貧相なケツがこちらwwwwwwwwwwwwww [334940649]